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PCT Pub. Date Jun. 8, 1995A circuit 
arrangement for safety-critical control systems, 
for example, for the control of anti-lock brake 
systems, is based on an at least partly redundant 
processing of input data which are taken into 
account for generating control signals. The 
control system is disconnected upon non- 
correlation of the signals. A microprocessor 
system is provided for data processing and 
includes two or more central processor units 
permitting parallel processing of the input data. 
The output data of the CPUs are checked for 
correlation. Each write/read memory of the 
microprocessor system has a generator to 
generate a test information. The write/read 
memories and the read-only memories are 
extended by memory spaces for the test 
information. In every writing or reading access to 
the memories, the contents of the memory space 
is tested with the associated test information for 
correlation, and an error identification signal is 
generated in the absence of correlation or 
plausibility. 
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@ Schaltungsanordnung fur sicherheitskritische Regelungssysteme 

@ Eine Schaltungsanordnung fur sicherheitskritische Rege- 
lungssysteme, 2. 8. fOr die Regelung blockiergeschutzter 
Bremsanlagen, beruht auf zumindest teilweise redundant 
ausgelegter Verarbeitung der Eingangsdaten, die zur Erzeu- 
gung der Regelsignaie herangezogen werden. Bei Nicht- 
ubereinstimmung der Signale wird das Regelungssystem 
abgeschaltet. 

Zu der Datenverarbeitung ist ein Mikroprozessorsystem 
vorgesehen, das zwei oder mehrere Zentraleinheiten CPUs 
(1, 2) enthalt, mit denen die Eingangsdaten parallel verarbei- 
tet werden. Die Ausgangsdaten der CPUs werden auf 
Obereinstinnmung uberpruft. Den Schreib>/l-esespeichern 

(11) des Mikroprozessorsystems ist Jewells eln Generator 

(12) zur Erzeugung einer Pruf information zugeordnet. Die 
Schreib-ZLese- (11) sowie die Festwertspeicher (7) sind 

. durch Spelcherplatze (8, 13) fur die Pruflnformation erwei- 
^ tert. Bei jedem schreibenden oder lesenden Zugriff zu den 
, Speichern wird der Inhalt des Speicherplatzes (8, 13) mit der 
zugehdrlgen Prufinformatlon korreliert und ein Fehlererken- 
nungssignal erzeugt, wenn keine Obereinstimmung bzw. 
"Plausibiiitat*' besteht. 
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1 

Beschreibung 

Die Erfindung bezieht sich auf eine fur sicherheitskri- 
tische Regelungssysteme vorgesehene Schaltungsan- 
ordnung, mit der durch Datenverarbeitung, die zumin- 
dest teilweise redundant ausgelegt ist, Eingangssignale 
ausgewertet und Regelsignale erzeugt werden, wobei 
2ur Ermittlung von Fehlern Ergebnisse der redundanten 
Datenverarbeitung verglichen und bei Nicht-Oberein- 
stimmung Signale zur Fehlererkennung bzw. Abschai- 
tung Oder Sperrung des Regelungssystems gewonnen 
werden. 

Ein Beispiel einer solchen Schaltungsanordnung, die 
zur Steuerung und Oberwachung einer blockierge- 
schutzten Fahrzeugbremsanlage dient, ist aus der Pa- 
tentschrift DE 32 34 637 C2 bekannt Nach dieser Schrift 
werden die Eingangsdaten zwei identisch programmier- 
ten Mikrocomputern parallel zugefiihrt und dort syn- 
chron verarbeitet Die Ausgangssignale (und Zwischen- 
signale) der beiden Mikrocomputer werden auf Ober- 
einstimmung iiberpriift. Wenn die Signale voneinander 
abweichen, wird ein Abschaltsignai ausgegeben. Bei die- 
ser bekannten Schaltung dient einer der beiden Mikro- 
computer zur Erzeugung der Bremsdrucksteuersteuer- 
signale, der andere lediglich zur Bildung der Prufsignale. 
Nach diesem Konzept ist eigens zum Zweck der Erken- 
nung eines Datenverarbeitungsfehlers ein zweiter Mi- 
krocomputer, der in seinem Aufbau und seiner Pro- 
grammierung mit dem ersten Mikrocomputer identisch 
ist, vorgesehen. 

Nach einer anderen bekannten, in der Offenlegungs- 
schrift DE41 37 124A1 beschriebenen Schaltungsan- 
ordnung werden die Eingangsdaten ebenfalls zwei Mi- 
krocomputern zugefiihrt, von denen jedoch nur einer 
die voUstSndige, aufwendige Signalverarbeitung aus- 
fiihrt Der zweite Microcomputer dient vornehmlich zur 
Oberwachung, weshalb die Eingangssignale nach Auf- 
bereitung und Bildung von zeitlichen Ableitungen mit 
Hilfe vereinfachter Regelalgorithmen und vereinfachter 
Regelphilosophie weiter verarbeitet werden. Die ver- 
einfachte Verarbeitung reicht zur Erzeugung von Signa- 
len aus, die durch Vergleich mit den in dem aufwendige- 
ren Mikrocomputer verarbeiteten Signale Riickschliisse 
auf den ordnungsgem^Ben Betrieb zulassen. Durch die- 
se Verwendung eines Priif-Mikrocomputers geringerer 
Leistungsfahigkeit lafit sich zwar der Herstellungsauf- 
wand im Vergleich zu einem System mit zwei Mikro- 
computern gleicher Leistung reduzieren, doch ist immer 
noch der fur die Fehlererkennung erforderliche Auf- 
wand erheblich. 

Der Erfindung liegt daher die Aufgabe zugrunde, eine 
Schaltungsanordnung der eingangs genannten Art zu 
entwickeln, die sich gegentiber den vorgenannten be- 
kannten Schaltungen durch verringerten Herstellungs- 
aufwand auszeichnet und die dennoch mit "hoher Si- 
cherheit Fehler in der Datenverarbeitung erkennt und 
signalisiert 

Es hat sich gezeigt, daB diese Aufgabe durch eine 
Schaltungsanordnung gelOst werden kann, deren Be- 
sonderheit darin besteht, zur Datenverarbeitung ein Mi- 
kroprozessorsystem vorgesehen ist, das zwei oder meh- 
rere Zentraleinheiten (CPU's) enthalt, in denen die Ein- 
gangsdaten parallel verarbeitet werden, 
daB Ausgangsdaten einer CPU, nlmlich zumindest die 
Rechenergebnisse (Datenverarbeitungs-Ergebnisse) 
bzw. "Daten" oder diese Daten, die Adressen und/oder 
die Ablaufsteuerungsdaten, mit den entsprechenden 
Ausgangsdaten der zweiten bzw. anderen CPU's vergii- 



2 

Chen werden und bei Nicht-Obereinstimmung ein Feh- 
lererkennungssignal erzeugt wird, 
daB den Schreib-ZLesespeichern des Mikroprozessorsy- 
stems jeweils ein Generator zur Erzeugung einer Priif- 
5 information zugeordnet und die Schreib-ZLesespeicher 
sowie die Festwertspeicher durch Speicherplatze fQr die 
PraHnformation erweitert sind, und 
daB bei jedem schreibenden oder lesenden Zugriff zu 
den Speichern der Inhalt des Speicherplatzes mit der 

10 zugehorigen Prufinformation verglichen bzw. korreiiert 
und ein Fehlererkennungssignal erzeugt wird. wenn 
Obereinstimmung oder "Plausibilitat" nicht gegeben ist. 

ErfindungsgemaB wird die geforderte hohe Sicher- 
heit der Erkennung von Datenverarbeitungsfehlern 

15 trotz Verzicht auf einen zweiten, die Eingangssignale 
redundant verarbeitenden Mikrocomputer erreicht. Es 
genilgt ein einziger Mikrocomputer, der sich von her- 
kdmmlichen Schaltkreisen dieser Art im wesendichen 
nur durch redundante Verarbeitung der Eingangsdaten 

20 mit Hilfe zweier CPU's und durch relativ geringfugige 
Erweiterung der Speicher durch SpeicherplStze fur 
Priifinformationen. durch zusatzliche, z. B. aus einigen 
Exklusiv-ODER-Gattern bestehende Generatoren zur 
Erzeugung der Pruf- oder Redundanzinformation und 

25 durch einige zusatzliche Vergleicher unterscheidet. 

Die Erweiterung der Speicher durch PlStze fiir die 
Pruf- bzw. Redundanzinformationen beschrSnkt sich — 
je nach geforderter Redundanz — auf einige Prozent, 
z. B. 5 bis 20%, des fur den Speicher erf order lichen Plat- 

30 zes. Die Verwendung von zwei vollstSndigen CPU's fallt 
im Vergleich zu dem Aufwand fur das gesamte Mikro- 
prozessorsystem nur wenig ins Gewicht Der Herstel- 
lungsaufwand fur das erfindungsgemSBe Mikroprozes- 
sorsystem, das vorzugsweise auf einem Chip unterge- 

35 bracht wird, ist folglich nur wenig hSher als fur ein ver- 
gleichbares Chip bekannter Art. Die Beschrankung auf 
nur ein Mikroprozessorsystem im Vergleich zu entspre- 
chenden Schaltungen bekannter Art, die zwei Prozesso- 
ren besitzen, fflhrt also zu erheblichen Einsparungen. 

40 Einige vorteilhafte Ausfuhrungsarten der erfmdungs- 
gemaBen Schaltungsanordnung sind in den Unteran- 
spruchen beschrieben. 

Ein Ausfiihrungsbeispiel der Erfindung besteht darin, 
daB die Prufinformation in Form von Redundanzinfor- 

45 mation vorliegt. ZweckmaBig ist es, zur Bildung der 
Prtif- bzw. Redundanzinformation die gerade oder un- 
gerade Paritat der Bits der einzelnen Daten zu ermit- 
teln. Es kann jedoch auch die Quersumme der gespei- 
cherten oder ubertragenen Daten oder einer Redundan- 

50 zinformation auf Basis eines vorgegebenen Polynoms 
gebildet werden. 

Nach einer weiteren vorteilhaften Ausfiihrungsart 
der Erfindung werden zur Erzeugung der Prtif- bzw. 
Redundanzinformation die gespeicherten und/oder die 

55 ubertragenen Daten durch ein Paritatsbit erweitert Der 
zusatzliche Speicherplatzbedarf fflr dieses Prufbit fallt 
kaum ins Gewicht. 

Das Fehlererkennungssignal fiihrt nach einem weite- 
ren Ausfiihrungsbeispiel der Erfindung zur Abschaltung 

60 Oder zur Sperrung des Mikroprozessorsystems. Bei 
Verwendung der erfindungsgemaBen Schaltungsanord- 
nung zur Blockierschutzregelung wird durch Abschal- 
tung des Mikroprozessorsystems die Regelung beendet 
und die konventionelle Bremsenfunktion, d. h. die Brem- 

65 senfunktion ohne Regelung, sichergestellt. 

Eine Weiterbildung der erfindungsgemaBen Schal- 
tungsanordnung besteht darin, daB zur Erh5hung der 
Redundanz nicht nur die CPU's, sondern noch weitere 
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ausgewahlte Komponenten des Mikroprozessorsy- 
stems, wie Speicher, Eingabe-Ausgabe-Einheiten usw^ 
zweifach in diesem 1-Chip-Mikroprozessorsystem vor- 
handen sind. 

Ein sicherheitskritisches Regelungssystem, fiir das 
sich die erfindungsgemaBe Schaitungsanordnung be- 
sonders eignet, ist eine Kraftfahrzeug-Bremsanlage mit 
Blockierschutz- und/oder Antriebsschiupfregelung. In 
diesem Fall werden die Sensorsignaie. die das Drehver- 
halten der Rader und/oder das Fahrverhalten des Fahr- 
zeugs wiedergeben, mit dieser Schaitungsanordnung 
verarbeitet und zur Erzeugung von Bremsdruck-Steuer- 
signalen ausgewertet. 

Weitere Merkmaie, Vorteile und Anwendungsmog- 
lichkeiten der Erfmdung gehen aus der folgenden Be- 
schreibung spezieller Ausfuhrungsbeispieie anhand der 
beigefiigten Abbildungen hervor. 

Es zeigen in Prinzipdarstellung als Blockschaltbild 
und in Teildarstellung 



der Logikschaltungen zur Erzeugung der Pnif-Informa- 
tionen enthait Die mit Hilfe des Generators 9 gewonne- 
nen Prufinformationen mussen mit den im Speicher 8 
enthahenen Informationen ubereinstimmen. Trifft dies 
5 nicht zu, wird von einem Vergieicher 10 ein Abschalt- 
oder Sperrsignai erzeugt 

Liegt die Prufinformation in Form eines Paritatsbits 
vor, besteht der Generator 9 zur Bildung dieser Priif- 
bzw, Redundanzinformation z. B. aus der erforderlichen 

10 Anzahi von Exklusiv-ODER-Gattern zur Feststellung 
der ParitSL Auf diese Weise kann jeder Einfach-Fehler 
erkannt werden; naturlich lassen sich durch Priif-Infor- 
mationen auf Basis von zwei oder mehreren Bits auch 
gleichzeitige Mehrfachfehler erkennen. Die Bildung von 

15 Redundanz-Information auf Basis von Polynomen und 
bestimmten Algorithmen kann ebenfalls zweckmaBig 
sein. 

Fiir das Lesen von Informationen aus einem Schreib- 
/Lesespeicher (RAM) gelten die Erlauterungen anhand 



Fig. 1 das Zusammenwirken der Zentraleinheiten 20 der Fig. 2 analog. Auch dieser Schreib-ZLesespeicher 



(CPU's), der zugehorigen Vergieicher und der Abschalt 
funktion eines Mikroprozessorsystems nach der Erfm- 
dung, 

Fig. 2 in gleicher Darsteliungsweise wie Fig. 1 einen 
Festwertspeicher (ROM) und die zugehorigen Pruf- 
Komponenten, 

Fig. 3 in gleicher Darsteliungsweise wie Fig. 2 einen 
Schreib-ZLesespeicher und die zugehorigen Pruf-Kom- 
ponenten, 



wird erfindungsgemaB durch einige Speicherplatze fur 
die Redundanz- Informationen erweitert. 

Bei einem schreibenden Zugriff zu einem Schreib- 
ZLesespeicher 11, siehe Fig, 3. wird mit einem Genera- 
25 tor 12, der dem Generator 9 nach Fig. 2 entspricht. eine 
Prufinformation erzeugt und in einem Zusatzspeicher 
13 — Oder zusStzlichen Speicherpiatzen im zugehorigen 
Schreib-ZLesespeicher — abgelegt Beim lesenden Zu- 
griff auf diese Information wird dann wiederum die 



Fig. 4 in gleicher Darsteliungsweise den AnschluB 30 Obereinstimmung oder Tlausibilitat" Qberpruft 



von Eingabe- oder Ausgabeeinheiten und 

Fig. 5 in gleicher Darsteliungsweise wie die vorange- 
gangenen Figuren die Zusammenschaltung der wesent- 
lichen Komponenten eines Mikroprozessorsystems 
nach der Erfmdung. 

Fig. 1 veranschaulicht, daB das erfindungsgemaBe Mi- 
kroprozessorsystem zwei Zentraleinheiten 1, 2, CPU' s 
genannt, aufweist, denen uber Bus-Systeme, namlich ei- 
nen Datenbus Memory DATA IN, einen Steuerbus 



Wie Fig. 4 zu entnehmen ist, werden die uber eine 
Eingabeeinheit 14 dem erfindungsgemafien Mikropo- 
zessorsystem zugefiihrten Daten analog der bereits er- 
lauterten Behandlungsweise QberprOft. Es werden in ei- 
35 nem Generator 15 Prlif- bzw. Redundanzinformationen 
gebildet. Bei Ubertragung oder Weiterverarbeitung der 
Daten erfolgt dann jeweils die Oberprufung in der be- 
schriebenen Weise. 
Die Eingabeeinheit 14 erhait die zu verarbeitenden 



CONTROL DATA IN und einen AdreBbus ADDRESS 40 Eingangssignale Ober doppelt ausgelegte Wege — sym- 



IN die Eingangssignale bzw. Eingangsdaten parallel zu- 
gefuhrt werden. Die CPU 1 wird als "aktiv" bezeichnet, 
weil ihre Ausgangsdaten Qber die Bus-Systeme D OUT, 
C OUT, A OUT zur Weiterverarbeitung weitergeleitet 
werden. Die CPU 2 ist dagegen "passiv", weil sie ledig- 45 
lich zu PrQfzwecken vorhanden ist. Da beide CPU's 1, 2 
in dem vorliegenden Beispiel identisch aufgebaut und 
programmiert sind, lassen sich durch Vergleich der Aus- 
gangsdaten beider Einheiten 1, 2 Datenverarbeitungs- 



bolisiert durch die beiden Eingangspfeile El, E2 in Fig. 4 
— aus der zugehSrigen Quelle. Die Prufredundanz 
kommt erst nach Erfassung der Signale durch das erfin- 
dungsgemaBe Mikroprozessorsystem zum Tragen. 

Grundsatzlich wird die Anzahi der durch die Redun- 
danzgeneratoren generierten Informationen durch die 
jeweiligen Forderungen nach Erkennung von Einfach- 
oder Mehrfachfehlern festgelegt Ist fiir einen Anwen- 
dungsfall die Erkennung von Einfachfehlern ausrei- 



fehler erkennen. Die Ausgangsdaten der beiden CPU's 50 chend, wird der Redundanzgenerator (9, 15) am einfach- 

werden daher mit Hilfe von Vergleichern 3, 4, 5 auf sten durch eine ICette von Exklusiv-ODER-Gattern ver- 

Obereinstimmung verglichen;dem Datenbus, dem Steu- wirklicht Sollen auch Doppelfehler erkennbar sein, so 

erbus und dem AdreBbus sind jeweils ein eigener Ver- werden mehrere Redundanzbits, z. B. durch Bilden der 

gleicher 3 bzw. 4 und 5 zugeordnet Stimmen die Daten Quersumme bzw. Addieren aller Bits eines Wortes, ge- 

nicht uberein, wird dies als Datenverarbeitungsfehler 55 bildet Die "GroBe** der Prufinformationen laBt sich so- 

bewertet und uber ein Gatter 6 ein Abschalt- oder mit in Abhangigkeit von der geforderten Sicherheit ge- 

Sperrsignal ausgegeben. gen gleichzeitig auftretende Fehler variieren. 

In Bezug auf die Datenverarbeitung in den CPU's 1, 2 Die anhand der Fig. 1 beschriebenen Vergieicher 3, 4, 

ist also bei dem erfindungsgemaBen Mikroprozessorsy- 5 lassen sich z. B. durch Komparatorschaltungen reali- 

stem 100%ige Redundanz gegeben. Die Prufung und eo sieren, die "bit"-weise alle Informationen vergleichen. 

Oberwachung der Speicher beruht auf einem anderen Eine mogliche Ausfflhrungsform ist der bit-weise Ver- 



Prinzip. Wie Fig. 2 zeigt, ist einem Festwertspeicher 
(ROM) 7 ein weiterer Speicher 8 fiir Redundanzinfor- 
mationen zugeordnet. In der Praxis wird der Festwert- 
speicher 7 zur Aufnahme dieser Redundanzinformatio- 
nen um die entsprechenden Speicherplatze erweitert. 

Die aus dem Speicher 7 ausgelesenen Daten werden 
einem PrQf- oder Redundanz-Generator 9 zugefahrt, 



gleich durch die vorgenannten Exklusiv-ODER-Gatter. 
deren Ausgange durch ein weiteres ODER-Gatter zu- 
sammengefaBt werden. 
65 Der Vergieicher 10 nach Fig. 2 vergleicht die aus dem 
Speicher 7 ausgelesene Information, die durch die in 
dem Redundanzgenerator 9 erzeugte Redundanzinfor- 
mation erweitert ist, mit der Prttf-Information aus dem 
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Speicher 8. Diese Oberpriifung geschieht wiederum z. B. 
mit Hilfe der zuvor genannten Exklusiv-ODER-Gatter. 

Die Sicherheit der Fehiererkennung mit Hilfe der er- 
findungsgem^Ben Schaitungsanordnung iSBt sich bei 
Bedarf noch durch folgende NaBnahmen erhdhen: Die 
Vergleicher und/oder Abschaitpfade kdnnen mehrfach 
ausgelegt werden. Ein "schiafender" Fehier innerhalb 
eines Vergieichers oder eines Abschaitpfades kann dann 
eine Systemabschaltung im Fehlerfaile nicht mehr ver- 
hindern. 

Grundsatzlich ist es auch mogiich, einen Vergleicher 
auBerhalb des eigentlichen Mikroprozessorchips anzu- 
ordnen. Da ein externer Vergleicher zyklisch Werte aus 
dem Chip erhalt, kann der Vergleicher durch eine zweite 
Taktversorgung das Zeitverhalten der CPU's iiberpru- 
fen und im Fehlerfall eine Abschaltung des Regelungs- 
systems hervorrufen. Als Oberprufungskriterien dienen 
sowohl der Dateninhalt der empfangenen Informatio- 
nen als auch das zeitliche Verhalten der Signale. 

Zur Reduzierung der Obertragungsbandbreite zwi- 
schen Vergleicher und den CPU's kann eine zusStzliche 
Logik verwendet werden, die bestimmte Informationen 
auswahlt und jedes n-te-Resultat zum externen Verglei- 
cher weiterleitet Durch ein derartiges Auswahlsystem 
kann die Anzahl der (iberpruften Stichproben auf ein 
noch geringeres, noch ausreichendes MaB reduziert 
werden. 

Des weiteren ist es grundsStzlich mdglich, lediglich 
die empfangene Pruf- bzw. Redundanzinformation und 
die zum Vergleich berechnete Information durch einen 
externen Schaltkreis zu Uberprufen. Die Anzahl der zu 
dem externen Schaltkreis zu ubermittelnden Signale 
laBt sich auf diese Weise reduzieren. 

Fig. 5 dient zur Veranschaulichung des Zusammen- 
wirkens der einzelnen bereits beschriebenen oder disku- 
tierten Komponenten eines Mikroprozessorsystems 
nach der Erfindung. Soweit Obereinstimmung mit den 
AusfUhrungsbeispielen nach den Fig. 1 bis 4 besteht, 
wurden gleiche Bezugszeichen in Fig. 5 verwendet 

Die Ausgangsdaten der Zentraleinheiten 1, 2 sind in 
Fig. 5 mit DO (Data OUT), die AdreBdaten mit AO 
(Adress OUT) und die Ablaufsteuerungsdaten mit CO 
(Control OUT) bezeichnet, **R" deutet auf die zugehdri- 
ge Prilf- bzw. Redundanzinformation hin. Die' Ein- 
gangsdaten sind mit T (DI, AI, CI) bezeichnet. 

Abweichend von dem Ausftihrungsbeispiel nach 
Fig. 1 werden die Ausgange der Zentraleinheiten oder 
CPU's (1, 2) uber Redundanzgeneratoren 16, 17, 18 bzw. 
16', 17', 18', die der ubertragenen Information eine Priif- 
information, z. B. ein Priifbit hinzufugen, zu den Verglei- 
chem 3, 4, 5, weitergeleitet. Wie in Fig. 5 angedeutet ist, 
sind jeweils zwei Vergleicher 3, 3'; 4, 4'; 5, 5' parallelge- 
schaltet Jeder Vergleicher ist in der Lage, ein Fehlerer- 
kennungs- oder Abschaltsignal (Switch OFF) abzuge- 
ben. Zur Oberpriifung der Eingangsdaten DI + R ("R" 
symbolisiert die Priif- bzw. Redundanzinformation) ist 
eine weitere Schaltungskomponente 19, 19' vorhanden, 
die ebenfalls ein Abschaltsignal SW OFF erzeugt, wenn 
die Information und das zugehorige PrQfsignal nicht 
plausibel sind. 

Abweichend von Fig. 1 sind der besseren Obersicht 
wegen in Fig. 5 die Signaleingange der Zentraieinheit 1, 
2 fiir die AdreB- und Steuerdaten nicht dargestellt, son* 
dem lediglich der Dateneingang DI bzw. DI + R. 

Die Anschaltung des Schreib-ZLesespeichers RAM 11 
mit dem zugehdrigen Speicher 13 fiir die PrQf- bzw. 
Redundanzinformation sowie des Festwertspeichers 
(ROM) 7 und des zugehdrigen PrQfspeichers 8 wurden 



bereits anhand der Fig. 2 und 3 erlautert; es besteht kein 
Unterschied gegenuber dem Ausfuhrungsbeispiel nach 
Fig. 5. Die Eingabeeinheit 14 mit dem zugehdrigen Re- 
dundanzgenerator 15 wurden ebenfalls bereits anhand 

5 der Fig. 4 erlautert. Wiederum werden zwei in die Ein- 
gangssignale El, E2 parallel zugefiihrt 

Zur tJberprtifung der Ablaufsteuerungsdaten (Cont- 
roldaten) und der AdreBdaten sind die Schaltungskom- 
ponenten 20^0' und 21, 21' vorgesehen. die ebenfalls 

10 jeweils zweifach vorhanden sind. Wird in diesen Schal- 
tungskomponenten eine Nicht-Obereinstimmung oder 
fehlende Plausibilitat zwischen den Daten und den zuge- 
hdrigen Priifinformationen festgestellt, wird wiederum 
ein Abschaltsignal SW OFF erzeugt Die zugehorigen 

15 Redundanzgeneratoren sind mit 22, 22' und 23, 23' be- 
ziffert 
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1. Schaitungsanordnung fiir sicherheitskritische Re- 
gelungs-Systeme, mit der durch Datenverarbei- 
tung, die zumindest teilweise redundant ausgelegt 
ist, Eingangssignale ausgewertet und Regelsignale 
erzeugt werden, wobei Ergebnisse der redundan- 
ten Datenverarbeitung verglichen und bei Nicht- 
Obereinstimmung Signale zur Fehiererkennung 
bzw. Abschaltung oder Sperrung des Regelungssy- 
stems gewonnen werden, dadurch gekennzeich- 
net, 

daB zur Datenverarbeitung ein Mikroprozessorsy- 
stem vorgesehen ist, das zwei oder mehrere Zen- 
traleinheiten bzw. CPU's (1, 2) enthalt, in denen die 
Eingangsdaten (DI, AI, CI) parallel verarbeitet wer- 
den, daB Ausgangsdaten einer CPU, nSmlich zu- 
mindest die Rechenergebnisse (Datenverarbei- 
tungs-Ergebnisse) bzw. "Daten" mit den entspre- 
chenden Ausgangsdaten der zweiten bzw. der an- 
deren CPU's verglichen werden und bei Nicht- 
Obereinstimmung ein Fehlererkennungssignal (SW 
OFF)erzeugt wird, 

daB den Schreib-ZLesespeichern (11) des Mikropro- 
zessorsystems jeweils ein Generator (12) zur Er- 
zeugung einer PrQfinformation zugeordnet ist und 
die Schreib-ZLesespeicher (11) sowie die Festwert- 
speicher (7) (7) durch Speicherplatze (13. 8) fiir die 
Prlifmformation erweitert sind, und 
daB bei jedem schreibenden oder lesenden Zugriff 
zu den Speichern (11) der Inhalt des Speicherplat- 
zes mit der zugehorigen Prufinformation vergli- 
chen bzw. korreliert und ein Fehlererkennungssi- 
gnal (SW OFF) erzeugt wird, wenn Obereinstim- 
mung Oder "Plausibilitat" nicht gegeben ist 

2. Schaitungsanordnung nach Anspruch 1, dadurch 
gekennzeichnet, daB sowohl die Rechenergebnisse 
bzw. "Daten" als auch die Adressen undZoder die 
Ablaufsteuerungsdaten mit den entsprechenden 
Ausgangsdaten der zweiten bzw. der anderen 
CPU's verglichen werden und bei Nicht-Oberein- 
stimmung das Fehlersignal (SW OFF) erzeugt wird. 

3. Schaitungsanordnung nach Anspruch 1 oder 2, 
dadurch gekennzeichnet, daB die Priifinformation 
in Form von Redundanzinformation (R) vorliegt. 

4. Schaitungsanordnung nach einem oder mehreren 
der Anspriiche 1 bis 3, dadurch gekennzeichnet, 
daB zur Erzeugung der Prflf- bzw. Redundanzinfor- 
mation (R) die gerade oder ungerade Paritat der 
Bits der einzelnen Daten ermittelt wird 

5. Schaitungsanordnung nach einem oder mehreren 
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der Anspriiche 1 bis 3, dadurch gekennzeichnet, 
daB zur Erzeugung der Prufinformation die Quer- 
summen der die einzelnen gespeicherten oder 
Qbertragenen Daten darstellenden Zahlen oder ei- 
ne Redundanzinformation auf Basis eines vorgege- 5 
benen Poiynoms oder Algorithmus gebiidet wird 

6. Schaitungsanordnung nach einem oder mehreren 
der Anspriiche 1 bis 5, dadurch gekennzeichnet, 
daB zur Erzeugung der Pruf- bzw. Redundanzinfor- 
mation die gespeicherten und/oder die libertrage- 10 
nen Daten durch ein Paritatsbit erweitert werden. 

7. Schaitungsanordnung nach einem oder mehreren 
der Anspruche 1 bis 6, dadurch gekennzeichnet, 
daB die Eingangsdaten in den CPU's (1, 2) synchron 
verarbeitet werden. 15 

8. Schaitungsanordnung nach einem oder mehreren 
der Anspruche 1 bis 7, dadurch gekennzeichnet, 
daB das Fehlererkennungssignai (SW OFF) zur Ab- 
schaltung oder Sperrung des Mikroprozessorsy- 
stems fuhrt 20 

9. Schaitungsanordnung nach einem oder mehreren 
der Anspruche 1 bis 8, dadurch gekennzeichnet, 
daB zur weiteren Erhdhung der Sicherheit der Feh- 
lererkennung zusatzlich zu den CPU's (1, 2) noch 
weitere Komponenten des Mikroprozessorsy- 25 
stems, wie Festwertspeicher (7), Schreib-ZLesespei- 
cher, Eingang-ZAusgangkomponenten (14), Bussy- 
steme etc., zweifach oder mehrfach vorhanden sind, 
wobei mit Vergieichern jeweils die Obereinstim- 
mung der Informationen oder die Plausibilitat 30 
liberpriift wird 

10. Schaitungsanordnung nach einem oder mehre- 
ren der Anspruche 1 bis 8, dadurch gekennzeichnet, 
daB diese Bestandteil einer Kraftfahrzeug-Brems- 
aniage mit Blockierschutz- und/oder Antriebs- 35 
schlupfregelung ist und zur Verarbeitung von Si- 
gnalen. die das Drehverhalten der FahrzeugrSder 
und/oder das Fahrverhalten des Fahrzeugs wieder- 
geben, und zum Erzeugen von Bremsdrucksteuersi- 
gnalen dient 40 
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